基于序列模式挖掘算法的惡意代碼檢測(cè).pdf

1、惡意代碼檢測(cè)是計(jì)算機(jī)安全的一個(gè)重要領(lǐng)域。本文通過(guò)對(duì)近三十年提出的各種檢測(cè)方法的優(yōu)缺點(diǎn)的分析和比較，發(fā)現(xiàn)多數(shù)基于特征碼的誤用檢測(cè)在惡意代碼大量繁殖的今天已經(jīng)顯露其弊端，異常檢測(cè)雖然具有主動(dòng)防御的特性，但其準(zhǔn)確性無(wú)法滿足實(shí)際要求。針對(duì)這些不足，結(jié)合主機(jī)惡意代碼檢測(cè)的應(yīng)用背景，本文提出了結(jié)合數(shù)據(jù)挖掘和專家系統(tǒng)的技術(shù)來(lái)檢測(cè)主機(jī)惡意代碼的方法。該方法的創(chuàng)新之處在于檢測(cè)系統(tǒng)具備的三個(gè)特征：1基于惡意代碼行為特征；2結(jié)合專家系統(tǒng)的技術(shù)；3利用數(shù)據(jù)挖掘

2、算法發(fā)掘惡意代碼行為模式。 本文研究的重點(diǎn)是序列模式算法在惡意代碼檢測(cè)中應(yīng)用。主要的步驟是：利用行為提取工具SSM和EQSecure將惡意代碼樣本中的行為序列提取出來(lái)，構(gòu)成序列視圖行為數(shù)據(jù)庫(kù)。然后，用序列模式挖掘算法挖掘出行為序列庫(kù)中的頻繁模式(即行為特征)，構(gòu)成行為模式庫(kù)。最后，由專家系統(tǒng)的推理機(jī)匹配事實(shí)(facts)和規(guī)則(rules)，給出最終的檢測(cè)結(jié)果。 本文的主要工作如下： (1)構(gòu)建惡意代碼行為序列數(shù)

3、據(jù)庫(kù)：利用行為提取工具SSM和EQSecure將惡意代碼樣本中的行為序列提取出來(lái)，構(gòu)成序列視圖行為數(shù)據(jù)庫(kù)。 (2)對(duì)于PrefixSpan序列橫式挖掘算法的改進(jìn)：已有的頻繁模式挖掘算法多是基于Apriori的，然而當(dāng)原始數(shù)據(jù)庫(kù)太大，或者當(dāng)頻繁模式太多太長(zhǎng)，Apriori算法就會(huì)遇到瓶頸，本文提出了一個(gè)更好的序列模式挖掘算法-PrefixSpanB算法，該算法的核心是利用簡(jiǎn)約數(shù)據(jù)庫(kù)代替原算法的投影數(shù)據(jù)庫(kù)，實(shí)驗(yàn)證明了其時(shí)間性能的提高